Insurance World Το Πληρέστερο Ασφαλιστικό Portal. Ό,τι συμβαίνει στον ασφαλιστικό κόσμο γράφεται εδώ!
Αρθρο του Στέλιου Βογιατζή Director της MAZARS GREECE
Είναι γεγονός πως για το «επιχειρείν», η ύπαρξη κανονισμών και ρυθμίσεων σημαίνει κατά κανόνα πρόσθετο κόστος σε διαδικασίες, ανθρώπους και βεβαίως χρήμα. Υπάρχουν όμως ζητήματα τα οποία με κανένα άλλο τρόπο δεν θα μπορούσαν να διασφαλισθούν ως προς το επιθυμητό αποτέλεσμα. Ένα από αυτά, είναι η επεξεργασία και προστασία των προσωπικών δεδομένων κατά τρόπο που διασφαλίζει τα ατομικά δικαιώματα.
Τα προσωπικά δεδομένα και ο χειρισμός αυτών δεν είναι σε καμία περίπτωση καινούργιο θέμα. Από την είσοδο των προσωπικών υπολογιστών το 1984 έως σήμερα υπάρχει πλήθος προσπαθειών διασαφήνισης των ορίων και απαιτήσεων προστασίας, όχι πάντα με τα επιθυμητά αποτελέσματα. Ο νέος Κανονισμός ο οποίος θα βρίσκεται σε ισχύ από την 25η Μαΐου του 2018 σχεδιάστηκε ώστε να μπορεί να ανταπεξέλθει και στα νέα τεχνολογικά δεδομένα αλλά και να αξιοποιήσει την εμπειρία που αποκτήθηκε στα προηγούμενα χρόνια. Τα δε πρόστιμα τα οποία συνοδεύουν τη μη συμμόρφωση είναι τέτοια ώστε δεν μπορούν σε καμία περίπτωση να αγνοηθούν: Έως και 20 εκ. Ευρώ ή το 4% του παγκοσμίου κύκλου εργασιών στην περίπτωση πολυεθνικών εταιρών. Αν μη τι άλλο, οι επιπτώσεις της ελλιπούς προετοιμασίας ή ακόμη χειρότερα, του να αγνοηθεί το ζήτημα ολωσδιόλου, είναι σοβαρότατες.
Ποιες είναι όμως οι πραγματικές διαστάσεις του θέματος;
Η διαχείριση και προστασία δεδομένων έχει τελείως διαφορετική σημασία όταν προσθέσουμε τη λέξη «προσωπικών». Αποκτά αυξημένο ειδικό βάρος. Δεν είναι θέμα που εξαντλείται με πρόσθετο έλεγχο στα πληροφοριακά συστήματα. Ούτε βεβαίως διεκπεραιώνεται με μια απλή πιστοποίηση κατά ISO 27001. Η ασφάλεια των πληροφοριακών συστημάτων είναι αναμφίβολα αναγκαία συνθήκη, ωστόσο, δεν είναι διόλου ικανή για αποτελεσματική, χωρίς εκπλήξεις συμμόρφωση.
Η συμμόρφωση απαιτεί ένα πλήρες μίγμα νομικής, τεχνολογικής και διαδικαστικής προσπάθειας ταυτόχρονα με αποτελεσματικό project management. Πέρα από την συνδρομή του τμήματος Πληροφορικής στην προστασία των δεδομένων θα προηγηθεί η διαδικασία εντοπισμού τους και του χαρακτηρισμού τους ως προς την κρισιμότητά τους σε σχέση με τις απαιτήσεις του νέου Κανονισμού. Τo marketing και οι προωθητικές καμπάνιες, η κάθε είδους ηλεκτρονική ή μη επικοινωνία, η λήψη βιογραφικών, οι προσλήψεις και αποχωρήσεις, οι κάθε είδους συμβάσεις με πιθανές αναφορές σε προσωπικά δεδομένα, ο εσωτερικός έλεγχος και οι προμήθειες είναι μόνο μερικά από τα παραδείγματα τμημάτων και διαδικασιών που θα επηρεασθούν στο ένα ή άλλο βαθμό από τον Κανονισμό. Παρ’ ότι αρχικά η όλη διαδικασία φαίνεται να εμπεριέχει σημαντική πολυπλοκότητα, με την δέουσα επιμέλεια και τεκμηρίωση, η συμμόρφωση όχι μόνο είναι εφικτή εντός των χρονικών ορίων, αλλά μπορεί και να αποτελέσει ευκαιρία γενικότερης βελτίωσης των επιχειρησιακών διαδικασιών. Με αφορμή την υποχρέωση συμμόρφωσης με τον Κανονισμό, παρουσιάζεται μια σημαντική ευκαιρία εντοπισμού σημείων βελτίωσης και αναδιοργάνωσης της επιχείρησης, ανεξάρτητα από το αντικείμενο δραστηριότητάς της. Με την προϋπόθεση βεβαίως ότι η αναδιοργάνωση θα αποτελεί μέρος της στοχοθεσίας του έργου.
Σε κάθε περίπτωση και για μια αποτελεσματική εφαρμογή που δεν αφήνει κενά (που δυστυχώς μπορεί να περάσουν τελείως απαρατήρητα και να γίνουν αντιληπτά μετά την έναρξη ισχύος του Κανονισμού με ευνόητες συνέπειες) απαιτείται κατ’ ελάχιστον:
- Πλήρης κατανόηση του τι πρέπει να υλοποιηθεί.
- Ομάδα υλοποίησης με σαφές πλαίσιο αρμοδιοτήτων.
- Μεθοδολογία υλοποίησης η οποία καλύπτει το σύνολο των απαιτήσεων.
- Τεκμηριωμένη διοίκηση έργου (project management).
- Σχέδιο δράσης (Action Plan) με μηδενική ανοχή κινδύνου στην υλοποίηση των επιμέρους δράσεων (zero risk tolerance).
- Έμφαση στο τι είδους δεδομένα διακινούνται και τι κενά υφίστανται στη διαχείρισή τους.
- Διασφάλιση ότι το θέμα θα παραμείνει σε υψηλή προτεραιότητα και μετά την 25η Μάϊου 2018.
- Εκπαίδευση του προσωπικού και διαρκής ενημέρωση.
- Διαρκής βελτίωση της ασφάλειας πληροφοριακών συστημάτων, τόσο από εξωτερικές απειλές όσο και ως προς την εσωτερική διαχείριση.
Ας εστιάσουμε λοιπόν στην ολοκληρωμένη υλοποίηση, τεκμηριωμένη προσπάθεια και βεβαίως, την επιχειρησιακή ευκαιρία.
*H Mazars είναι ένας διεθνής οργανισμός που παρέχει μια ευρεία γκάμα ελεγκτικών, συμβουλευτικών, λογιστικών, φορολογικών και νομικών υπηρεσιών σε 79 χώρες του κόσμου, και στηρίζεται διεθνώς στις υπηρεσίες 18.000 επαγγελματιών. H Mazars έχει δεκαετή παρουσία στην Ελλάδα και διαθέτει γραφεία στην Αθήνα και στην Θεσσαλονίκη.
Περισσότερες πληροφορίες στο www.mazars.gr
